Cybersecurity en energiemanagement: wie heeft de regie over je zonnestroom?

Een grootschalige verstoring van de stroomvoorziening door cyberaanvallen op zonne-energiesystemen is geen ondenkbaar toekomstscenario. Dit risico moet worden geminimaliseerd. RVO en Topsector Energie gaven Secura opdracht dieper in deze opgave te duiken. Dat leidde augustus dit jaar tot de publicatie van ‘Scenario’s en maatregelen voor cyberweerbare zonnestroominstallaties.’

In dit rapport worden onder andere dreigingen en hun eventuele gevolgen geadresseerd. Daarnaast komt aan de orde wat mogelijke maatregelen zijn en wie wat kan doen. Cybersecurity vergt tevens een integrale aanpak. Topsector Energie mobiliseert daarom samen met Holland Solar de zonnestroomsector en allerhande partijen om werk te maken van digitale veiligheid. 

In een serie van 4 artikelen focust Solar Magazine op cybersecurity vanuit het perspectief van fabrikanten en leveranciers van hardware en software, projectontwikkelaars en o&m-partijen en specialisten in (Home) Energy Management Systems ((H)EMS). Wat doen die laatste al aan beveiliging en wat kunnen ze nog beter oppakken? Die vraag staat centraal in dit verhaal van dit vierluik.

Wat doet BeNext?
Van Kessel: ‘Ik startte in 2007 met het ontwikkelen van een smart home systeem. Energie en comfort was al primair onderdeel van ons systeem, zoals aansturing van de verwarming en ’s nachts de boiler uit. Zo’n 10 jaar geleden verlegden we de focus naar woningcorporaties en vastgoedbedrijven. Met de golf in all electric-renovatie en de komst van energieprestatie-eisen ontstond veel behoefte aan monitoring, bijvoorbeeld van zonnepanelen en warmtepompen. Onze business ging vliegen. Momenteel maken we de energieprestaties van zo’n 12.000 woningen inzichtelijk en optimaliseren we installaties met ons energiemanagementsysteem.’

En Withthegrid?
Mignot: ‘Wij ontwikkelden de Teleport Gateway waarmee we ons op het zakelijke marktsegment richten. Die technologie maakt het mogelijk om assets zoals zonnepaneelsystemen aan te sturen om zo flex te benutten. Daarnaast wordt die ingezet om binnen de contractvoorwaarden van de netaansluiting te blijven. Met onze realtime interface-functionaliteit bestaat bovendien de mogelijkheid voor de netbeheerder op de noodknop te drukken bij dreigende overbelasting van het stroomnet; zonnepaneelinstallaties terug- of afschakelen indien nodig.’

In hoeverre is cybersecurity een item in jullie werk?
Van Kessel: ‘Wij richten ons op assets van huishoudens. Tel je er echter vele bij elkaar op, dan heb je het over een groot energiesysteem. Wordt dat gesaboteerd, dan kunnen de gevolgen groot zijn, bijvoorbeeld in de vorm van lokale stroomuitval met alle gevolgen van dien. Cybersecurity is daarom prioriteit bij ons. Er speelt veel op dit vlak, maar ik denk dan als eerste aan de technologie. Die is heel lastig te beheersen.’

Waarom?
‘Er zijn bijvoorbeeld vele merken warmtepompen en pv-omvormers. Veel hebben hun eigen connectie, bijvoorbeeld via de wifi van de bewoner en de cloud van fabrikanten. Zo kan die technologie op afstand worden gemonitord en ook worden aangestuurd. Daarmee worden echter tevens privacygevoelige data verzonden naar leveranciers en je weet niet wie daar toegang toe heeft. Wij werken daarom altijd met lokale verbindingen en onze eigen cloud. Hier hebben we zelf volledige controle over.’

Zo is cybersecurity geen gedeelde verantwoordelijkheid maar die van jullie?
‘Exact. Een tweede interessant aspect van digitale veiligheid en energiemanagement betreft het gebruiken van data van anderen. Denk daarbij onder meer aan het ophalen van informatie over dynamische energieprijzen via een platform zoals ENTSO-E of weersvoorspellingen via het KNMI. Een hack in die systemen kan er bijvoorbeeld voor zorgen dat warmtepompen massaal aanspringen of batterijen gaan laden. Het is dus extra zaak dat ook die data betrouwbaar zijn en niet afkomstig van of aangepast door een partij die kwaad wil doen. Zo kan immers eenvoudig op grote schaal flink schade worden veroorzaakt. Een check op de validiteit van die data is dan ook noodzaak voordat allerhande apparatuur daar automatisch op gaat reageren. Dit is volgens mij nog een onderbelicht aspect van cybersecurity.’

Daarmee heb je het ook over ketenverantwoordelijkheid…
Mignot: ‘Vele partijen spelen een cruciale rol bij het verwerven van inzicht in het energielandschap en assets slim sturen. Je hebt het over verschillende met internet verbonden assets zoals omvormers, batterijen, laadpalen, de routers en de wifi voor connectiviteit, de onderhoudspartijen met hun applicaties, de traders met hun applicaties, de energieleverancier, het meetbedrijf en de energiemanagementsysteempartijen als spin in het web. Die partijen zijn allemaal nodig om een flexibel energiesysteem te realiseren. We moeten dit goed en veilig doen. Het is dus noodzaak om te weten waar de risico’s aangaande cybersecurity zitten en dat de verantwoordelijken die aanpakken. Vervolgens moeten ook de rest-risico’s worden gemitigeerd. Hoe ga je daarmee om? Wie gaat wat doen en wat niet? Dat vergt samenwerking.’

En wat betreft de aansturing van assets via energiemanagementsystemen?
‘Het is van belang de toegang tot installaties, bijvoorbeeld zonnepaneelsystemen, beperkt te houden om digitale veiligheid te waarborgen. Het moet dus niet gebeuren via de assets zelf, maar via betrouwbare derde partijen. Het bewustzijn aangaande het belang hiervan groeit. Dat zie je ook terug in nieuwe Europese wetgeving – de Cyber Security Act en NIS2 – en daar wordt ook al naar gehandeld. Zo is er een Duitse klant van Withthegrid die gebruikmaakt van een Chinese batterij. De fabrikant heeft geen onlinetoegang tot dat opslagsysteem, dat wil men niet. Maar die wil uiteraard wel de toegang tot de benodigde data ten behoeve van onderhoud en veiligheid. Dat loopt nu via de Teleport.’

Die nieuwe Europese wetgeving gaat de zaken echt in beweging zetten?
‘De tijd van je neefje vragen om Raspberry Pi te programmeren om een zonnepark aan te sturen, is voorbij. Er zullen steeds meer bedrijven zoals wij worden ingeschakeld, professionele partijen met oog voor digitale veiligheid. Wat echter nog ontbreekt, is de koppeling van die regelgeving met eisen vanuit netbeheerders. Zolang die brug niet wordt geslagen, ligt de controle op naleving alleen bij de Rijksinspectie Digitale Infrastructuur, wat de slagkracht mijns inziens beperkt ten opzichte van de grote opgave en verantwoordelijkheid die er ligt voor de hele sector.’

Wordt cybersecurity ook steeds serieuzer genomen in de consumentenmarkt?
Van Kessel: ‘Een woningcorporatie die huizen wil verduurzamen, bijvoorbeeld met behulp van zonnepanelen en warmtepompen, heeft vele opties. Vervolgens wordt er echter een installateur geselecteerd die met enkele merken werkt. Tot zover de kennis aangaande cybersecurity. Het belang van een partij zoals BeNext, die energiemanagement oppakt en daarbij onder meer zorgdraagt voor het garanderen van de privacy van de huurders en gecontroleerde aansturing van residentiële energiesystemen, wordt doorgaans niet gezien. Dat zal echter veranderen, mede vanwege die Europese regulering. Zo vereist de Richtlijn voor Radioapparatuur 3.3 dat ieder apparaat aan veiligheidseisen voldoet, en de aankomende NIS 2 focust op zorgplicht, meldplicht en toezicht aangaande netwerk- en informatiesystemen.’

Hoe complex is de implementatie van cybersecurity door energiemanagementsysteempartijen?
‘Het wordt alsmaar complexer, onder meer vanwege die betrokkenheid van steeds meer partijen bij het aansturen van hernieuwbare-energiesystemen. Hoe goed doen ze dat, wat zijn prioriteiten en is er sprake van voldoende transparantie? Zo kunnen er verschillende redenen zijn om zonnepanelen terug te schakelen; vanwege negatieve energieprijzen, omdat de netbeheerder aan de noodrem moet trekken, omdat batterijen prioriteit krijgen.... Dat moet navolgbaar zijn, ook uit het oogpunt van cybersecurity. Je moet immers weten of dit het gevolg is van goede of foute input. Daarnaast worden energiesystemen complexer, wat het garanderen van digitale veiligheid er ook niet gemakkelijker op maakt.’

Maar er is nu wel voldoende aandacht voor?
Van Kessel: ‘Nee. Zo ontbreekt het gevoel van urgentie en de nodige kennis doorgaans bij woningcorporaties en vastgoedpartijen. Dat geldt eens temeer voor particulieren. Het onderwerp staat bij hen nauwelijks op de kaart. Prijs is leading in de markt.’

Mignot: ‘Het lastige is dat we het bij cybersecurity over een hygiënefactor hebben. Een license to operate. Je kunt je er maar beperkt mee onderscheiden in de zakelijke markt. De partijen die bereid zijn een veel duurder systeem aan te schaffen vanwege de uitmuntende digitale veiligheid zijn beperkt. Dit terwijl optimale cybersecurity natuurlijk wel geld kost. Tegelijkertijd is de asset-eigenaar daar onder de streep verantwoordelijk voor. Als het echt fout gaat, is die aansprakelijk. Al met al: wezenlijke verandering op dit vlak zal tijd kosten, dit terwijl haast geboden is.’

De risico’s zijn groot?
Mignot: ‘We moeten ons realiseren dat het hierbij om een geopolitieke zaak gaat. Kijk wat er in Oekraïne en de Oostzee gebeurt. De windmolenparken op de Noordzee zijn bijvoorbeeld ook al in kaart gebracht; ze vormen een uitgelezen doelwit voor kwaadwillende machten. We hebben het dus over een zeer serieuze zaak. De sector moet zich dat ten volle realiseren en dus volop investeren in cybersecurity.’

Dat geldt dan ook voor bedrijven die energiemanagementtechnologie en -diensten aanbieden. Doen die dat genoeg?
Mignot: ‘Slim energiemanagement is een jonge, veelbelovende markt. Er zijn vele nieuwe toetreders die allemaal deze ontwikkeling in bewustzijn en vaardigheden moeten doormaken. Ook hier kan regulering echter een verschil gaan maken op het gebied van digitale veiligheid. Zo wees Nederland eind 2023 Charge Point Operators die meer dan 300 megawatt aan laadvermogen in beheer hebben aan als ‘Andere Aangewezen Vitale Aanbieders’. Zij hebben nu een meldplicht en moeten hacks en cyberincidenten op hun laadinfrastructuur melden bij het Nationaal Cyber Security Centrum. Ik vind het logisch en zeer wel denkbaar dat dat op korte termijn ook gaat gelden voor ons marktsegment.’